Une mauvaise configuration dans le tableau de bord d’administration d’Unjected, un site de rencontres conçu pour les personnes qui ne veulent pas se faire vacciner contre Covid-19, a compromis les données sensibles de l’ensemble de sa base d’utilisateurs, ont rapporté les médias plus tôt cette semaine.
Un chercheur en cybersécurité du nom de GeopJr a récemment contacté le Point quotidien et a démontré que la mauvaise configuration lui permettait, à lui ou à toute autre personne sachant où chercher, de devenir l’administrateur du site.
GeopJr a démontré que le site était publié en direct avec le « mode débogage » activé. Il s’agit d’un mode utilisé par les développeurs de logiciels alors que le site est encore en construction, et en tant que tel, il est livré avec un large éventail d’ensembles et de fonctionnalités. Un tel mode ne devrait jamais être activé par défaut, dans une application déployée, souligne la publication.
Accéder à la base de données
En tant qu’administrateur, l’utilisateur peut modifier à peu près n’importe quoi sur le site, ajouter ou supprimer des pages, modifier ou supprimer tous les messages, ainsi que les sauvegardes du site.
L’administrateur a également accès à l’intégralité de la base de données des utilisateurs et à tous les détails qui y sont répertoriés, notamment les noms, les dates de naissance, les adresses e-mail et (éventuellement) les adresses postales. Ces données peuvent être utilisées à des fins d’usurpation d’identité (s’ouvre dans un nouvel onglet)par exemple.
Le site de rencontre compte quelque 3 500 utilisateurs, dont les données sensibles ont désormais été exposées.
C’est peut-être un petit site, mais ses ambitions sont assez grandes – car l’intermédiation de rencontres n’est qu’un des services proposés sur le site, un autre étant la « fertilité », où les utilisateurs peuvent donner leur sperme, leurs ovules ou leur lait maternel. Il existe également un service de «banque de sang», selon la publication, où les gens peuvent donner du sang. Ces deux services sont annoncés comme « sans ARNm ».
L’application Unjected n’est actuellement disponible que sur le Google Play Store, car elle a été expulsée de l’App Store d’Apple pour avoir enfreint les politiques de contenu Covid-19 de l’entreprise. Sur Android, il semble avoir plus de 10 000 téléchargements.
Via : Le point quotidien (s’ouvre dans un nouvel onglet)